Otwarta baza z dziurami

Open Source Vulnerability Database (OSVDB) to nowa, otwarta, internetowa baza danych o błędach w oprogramowaniu.

Open Source Vulnerability Database (OSVDB) to nowa, otwarta, internetowa baza danych o błędach w oprogramowaniu.

Zgodnie z założeniami projektu OSVDB ma być miejscem, gdzie będą się pojawiać zweryfikowane informacje na temat luk, pochodzące z setek raportów publikowanych na stronach różnych firm, odpowiadających za bezpieczeństwo. Dostęp do bazy będzie bezpłatny na podstawie licencji open source.

"Istnienie niezależnego i wiarygodnego źródła informacji o lukach w oprogramowaniu będzie korzystne dla wszystkich. Nowa baza pozwoli porównywać informacje ze źródeł komercyjnych z informacjami dostarczanymi przez środowisko open source. Ponieważ OSVDB agreguje informacje z wielu źródeł, skróci się czas wyszukiwania informacji o błędach" - mówią twórcy OSVDB.

Agregowanie informacji to rzeczywiście duża zaleta OSVDB. Zgodnie z danymi CERT od 1995 r. liczba informacji o lukach wzrosła prawie dwudziestokrotnie.

Na razie baza OSVDB będzie się opierać przede wszystkim na danych z innych źródeł, ambicją zespołu jest jednak stworzenie własnej bazy informacji. Na dłuższą metę będzie to konieczne, ponieważ rozstrzygnięcia będą wymagać problemy związane z licencjonowaniem dostępu do komercyjnych witryn tego rodzaju.

Tak jak inne inicjatywy open source, OSVDB będzie opierać się na wysiłku ochotników zajmujących się na co dzień bezpieczeństwem. Bezpośrednią koordynację projektu będzie prowadzić ok. 30 osób - ich zadanie to weryfikacja i edycja informacji ukazujących się w serwisie. Na razie zespołowi OSVDB udało się skatalogować ok. 1,9 tys. luk. Trwa weryfikowanie 2,7 tys. kolejnych. "Długofalowe powodzenie projektu zależy od zatrudnienia przy projekcie kolejnych ochotników" - twierdzą przedstawiciele OSVDB.

Nie jest jednak tak, że praca musi być wykonywana całkowicie "ręcznie". Członkowie zespołu pracują nad prototypem mechanizmów wysyłania wg standardu RSS. Baza jest kompatybilna z trzema open source'owymi produktami do zabezpieczania sieci: IDSem Snort, skanerem sieciowym Nessus i skanerem webowym Nikto. Będzie także sukcesywnie integrowana z innymi systemami. Z OSVDB współpracuje już także baza polskiej spółki AVET Information and Network Security.

Na razie bez zagrożenia

Inicjatywa została przyjęta dość ciepło przez środowisko związane z bezpieczeństwem sieciowym, a nawet przedstawicieli firm udostępniających komercyjne bazy z informacjami o lukach.

Z punktu widzenia firm, takich jak Secunia, OSVDB nie stanowi na razie specjalnej konkurencji. Publikuje znacznie mniej materiałów oryginalnych, a informacje są aktualizowane nieco wolniej niż w przypadku firm komercyjnych. "OSVDB może okazać się narzędziem przydatnym dla specjalistów ds. bezpieczeństwa czy programistów, którzy będą mieli dostęp do danych historycznych na temat błędów, których to my akurat nie publikujemy" - mówi Thomas Kristensen, wiceprezes ds. technicznych w firmie Secunia.

Z czasem może jednak wyrosnąć na kompleksowe i w pełni niezależne od dostawców technologii zabezpieczeń źródło informacji o lukach, tak jak inne inicjatywy tego typu. "To nie pierwsza, choć na pewno bardzo pożyteczna inicjatywa. Krytyczne znaczenie miało powstanie otwartej bazy Common Vulnerability Exposure, z jednolitym systemem kwalifikatorów, który de facto stał się standardem opisu luk" - twierdzi Aleksander P. Czarnowski, prezes AVET Information and Network Security.